انتهى Pwn2Own Miami 2022 مع ربح المنافسين 400000 دولار مقابل 26 استغلالًا ليوم الصفر، التي تستهدف منتجات ICS و SCADA التي تم عرضها خلال المسابقة بين 19 أبريل و 21 أبريل.

استهدف باحثو الأمن فئات إنتاج متعددة: خادم التحكم ، وخادم OPC UA للهندسة المعمارية الموحدة (OPC UA)، وبوابة البيانات، وواجهة الآلة البشرية (HMI).

قالت مبادرة Zero Day (ZDI) من Trend Micro اليوم "شكرًا مرة أخرى لجميع المتنافسين الذين شاركوا. لم يكن بإمكاننا إجراء مسابقة بدونهم".

"شكرًا أيضًا للبائعين المشاركين على تعاونهم وتقديم إصلاحات للأخطاء التي تم الكشف عنها طوال المسابقة."

بعد الإبلاغ عن الثغرات الأمنية التي تم استغلالها خلال Pwn2Own، يتم منح البائعين 120 يومًا لإصدار التصحيحات حتى تكشف ZDI عنها علنًا.

الفائزون في حدث Pwn2Own Miami 2022 هم Daan Keuper (daankeuper) و Thijs Alkemade (xnyhps) من Computest Sector 7 .

خلال اليوم الأول، ربحوا 20000 دولار بعد تنفيذ التعليمات البرمجية على حل خادم التحكم في الإشعال الاستقرائي SCADA باستخدام نقطة ضعف مصادقة مفقودة.

في نفس اليوم استخدموا ثغرة في مسار البحث غير المتحكم فيه للحصول على تنفيذ التعليمات البرمجية عن بعد (RCE) في برنامج AVEVA Edge HMI / SCADA وحصلوا على 20000 دولار لجهودهم.

في اليوم الثاني، استغل Computest Sector 7 شرط الحلقة اللانهائية لبدء حالة DoS ضد Unified Automation C ++ Demo Server وحصل على 5000 دولار.

في اليوم الثاني كذلك من Pwn2Own Miami 2022، تجاوز الفريق التحقق من التطبيق الموثوق به على OPC Foundation OPC UA .NET Standard وأضاف 40 ألف دولار إلى رصيد جوائزهم.

لقد فازوا بلقب Master of Pwn بعد كسب ما مجموعه 90 ألف دولار خلال الأيام الثلاثة من المسابقة والحصول على المركز الأول في لوحة المتصدرين بإجمالي 90 نقطة.